¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Autorun.dcm
Descubierto:27/03/2008
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:13.824 Bytes
Suma de control MD5:7e924990480D44af6a239329b2e682cb
Versin del VDF:7.00.03.77
Versin del IVDF:7.00.03.82 - jueves 27 de marzo de 2008

 General Mtodo de propagacin:
   • Unidades de red mapeadas


Alias:
   •  Kaspersky: Worm.Win32.AutoRun.dcm
   •  F-Secure: Worm.Win32.AutoRun.dcm
   •  Grisoft: Worm/Generic.GRV
   •  Eset: Win32/AutoRun.KS
   •  Bitdefender: Win32.Worm.TQW


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %papelera de reciclaje%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe
   • %disquetera%:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe



Crea los siguientes ficheros:

Fichero no malicioso:
   • %papelera de
      reciclaje%
\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\Software\Microsoft\Active Setup\Installed Components\
   {08B0E5C0-4FCB-11CF-AAX5-81C01C608512}]
   • StubPath="%papelera de reciclaje%\S-1-5-21-1482476501-1644491937-682003330-1013\isee.exe"

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: tassweq.com
Puerto: 7000
Contrasea del servidor: trb123trb
Canal: #alhailam
Apodo: %serie de caracteres aleatorios%


 Adems puede efectuar las siguientes operaciones:
     conectarse al servidor IRC
     Iniciar ataques DDoS por desbordamiento de SYN
     Iniciar ataques DDoS por desbordamiento de UDP
    • Ingresar a un canal IRC

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

    Nombre del proceso:
   • EXPLORER.EXE

   Al lograr la operacin, el programa malicioso cesa su ejecucin, mientras que su componente inyectado queda activo.

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Ana Maria Niculescu el viernes 13 de junio de 2008
Descripción actualizada por Andrei Gherman el jueves 31 de julio de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.